使用JWT验证,由于服务端不保存用户信息,不用做sessonid复制,这样集群水平扩展就变得容易了。同时用户发请求给服务端时,前端使用JS将JWT放在header中手动发送给服务端,服务端验证header中的JWT字段,而非cookie信息,这样就避免了CSRF漏洞攻击。 不过,无论是cookie-session还是JWT,都存在被XSS攻击盗取的风险: XSS攻击 跨站...
CSRF 利用自动附加请求 Cookie 的浏览器行为,因此我可以欺骗网站上的用户www.malicioussite.example单击按钮并向www.fakebank.example/transferMoneyToMe. 当您使用Authorization标头发送 JWT 时,浏览器不知道访问令牌,因此不会自动附加标头。 您可以从此答案开始更深入地研究此行为https://security.stackexchange.com/questio...
参考我的博客:Django中的CSRF认证 回到顶部 jwt认证相关 这里需要提一下,现在很多的前后端分离项目都是使用的jwt的方式进行校验的,因为jwt校验的方式是需要浏览器客户端在每一次请求的时候都要带着token给服务器进行校验,所以jwt认证的方式也是做了CSRF的保护的! 关于jwt认证与实现请参考我之前写的一些博客: 从用户...